Personvernbloggen

Når hver enkelt kommune må utforme sin egen digitale skolehverdag kan mye gå galt. Kanskje ligger løsningen på nasjonalt nivå.

Denne bloggen står som kronikk i Aftenposten på den internasjonale personverndagen 28. januar.

I dag markeres den internasjonale personverndagen over hele verden. I 2019 har Datatilsynet mottatt over 100 saker hvor barns personvern har blitt skadelidende på grunn av tekniske mangler eller menneskelige feil i en stadig mer digitalisert skolehverdag. Flere av sakene har vært bredt omtalt i media, og en av dem har ført til stor politisk turbulens i Bergen. Våre første og største overtredelsesgebyr etter innføringen av nytt personvernregelverk har gått til kommuner som har sviktet i å beskytte skoleelevers personopplysninger. Det finnes to hovedutfordringer som deles av så nært som alle norske kommuner:

1. Skolenes digitale kompetanse har ikke holdt tritt med digitaliseringstempoet

2. Norske kommuner er ofte ikke i stand til å beskytte sine mest sårbare innbyggeres personvern godt nok

Vi trenger et felles, nasjonalt løft for å lukke gapet mellom kompetansen i norske kommuner og kravene som stilles i en digital skolesektor.

Kommunen er alene

Det kommunale selvstyret står sterkt i Norge. På skolefeltet innebærer det at avtaler om hvilke digitale løsninger som tas i bruk for læring, kommunikasjon og elevvurdering i stor grad forhandles frem i hver enkelt kommune. Videre er hver kommune selv ansvarlig for å gjøre risikoanalyser og vurdere personvernkonsekvenser av verktøy som kjøpes inn, i henhold til regelverket. Dette er ikke en enkel oppgave. Likevel er det ingen vei utenom. Kommuneledelsen kan ikke velge å ikke ta i bruk digitale verktøy, og plikter å gjøre det på en måte som sikrer sine innbyggeres rettigheter og friheter. Denne kombinasjonen av digitaliseringspress og kompetansemangel fører til saker som den mye omtalte skoleapp-saken, der en familie med sterkt beskyttelsesbehov plutselig får sine nye navn og hemmelige adresse eksponert overfor en voldelig ekssamboer.

Det kan synes som en gordisk knute. Digitaliseringstoget har forlatt perrongen og norske kommuner løper etter som best de kan.

Vi må anerkjenne at det digitale økosystemet er for komplisert og krevende å navigere i for den enkelte kommune. Det nye personvernregelverket stiller strenge krav til digitale løsninger som skal behandle personopplysninger, fordi vi har fått en bredere forståelse av hvilken makt som ligger i utstrakt datahøsting. Barn har i tillegg et særskilt vern. Å løfte digitaliseringsarbeidet som i dag gjøres i den enkelte kommune opp på nasjonalt nivå, kan bidra til en mer robust og strømlinjeformet prosess som hadde gagnet alle kommuner.

Store kommuner må dra de små med seg

Det finnes flere kommuner som har bygget imponerende digitale løsninger for skolen, basert på et grundig strategiarbeid. Det er gjerne store kommuner med høykompetente juss- og IKT-avdelinger. Vi bør utforme ordninger som gir disse bjellesauene insentiver til å aktivt dele sine løsninger med andre kommuner uten de samme musklene. Hvor ansvaret for en slik nasjonal strategi for et kommunalt kompetanseløft skal ligge, er en viktig diskusjon som vi nylig reiste på en rundebordskonferanse.

Kommunene trenger hjelp til å nå igjen digitaliseringstoget, og det haster. Datatilsynet har gjennomført en undersøkelse, hvor vi blant annet har spurt om tilliten til at ulike virksomheter er i stand til å beskytte våre personopplysninger.  Tallene viser at tilliten til skoler og barnehager er mye lavere enn til de fleste andre offentlige virksomheter. Med tanke på hvor sensitive opplysninger skolen har ansvar for, er det lave tillittsnivået dypt bekymringsverdig.

Den norske Google-skolen

De fleste sakene vi har behandlet gjelder brudd på informasjonssikkerheten. Samtidig ser vi at flere kommuner inngår avtaler om levering av digitale læringsverktøy med selskaper som har omfattende datainnsamling som forretningsmodell. Google har etter hvert mange av Norges kommuner på kundelisten for levering av digitale skoleløsninger.

De store amerikanske teknologiselskapenes inntreden i skolesektoren er i liten grad problematisert og diskutert i den norske offentligheten. Google har på få år bygget seg opp til å bli et av verdens aller mest verdifulle selskap ved hjelp av intensiv datainnsamling.

Når en norsk kommune inngår en avtale med Google inkluderer den som regel maskinvare, operativsystem, applikasjoner, programmer, e-post og skylagring. Disse verktøyene tilbys til en relativt rimelig penge. Skolepakkene Google tilbyr tilrettelegger for innsamling av enhetsinformasjon, loggopplysninger, handlingsmønstre, lokasjonsdata, IP-adresse og telefonnummer. Vi vet ikke hva som skjer med disse profilene når barna går ut av skolen og leverer fra seg utstyret. En viktig oppgave for Datatilsynet blir å undersøke lovligheten av denne bruken. Vår undersøkelse viser også en sterk motstand mot å slippe til selskaper som tjener penger på datahøsting inn i skolesektoren.

Vi trenger en nasjonal løsning

Det varierende kompetansenivået i norske kommuner gjør at store, globale aktører i stor grad kan sette premissene for hvordan skolen utformes. I forhandlinger med Google, Apple og Microsoft må det stilles tydelige krav til hvordan læringsmidlene fungerer, og kommunene må ha en reell forståelse av hvilke forretningsmodeller løsningene hviler på. Det er et tungt ansvar som hviler på hver enkelt kommune. Foreldre kan i liten grad motsette seg løsningene som velges, og kommunene tar viktige valg på vegne av en sårbar gruppe.

Skole-Norge navigerer i et komplekst farvann. Det er viktig at kommunene tilfredsstiller kravene til en moderne og fremtidsrettet skole. Samtidig må de sørge for at de ivaretar rettighetene til en sårbar gruppe, nedfelt i et omfattende og til dels krevende lovverk. For å minske sannsynligheten for at barn blir skadelidende som følge av digitaliseringstempoet i skolen, bør vi søke en nasjonal løsning på en utfordring som norske kommuner i dag står alene om å møte.